세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[한국정보보호학회 칼럼] 차세대 양자 대응 암호 분야 연구방향
  |  입력 : 2017-04-06 10:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
양자 대응 암호 알고리즘도 디바이스 구현상 발생하는 공격에는 취약할 수 있어
암호용 디바이스에 대한 평가 및 검증 체계 강화 필요


[보안뉴스= 하재철 한국정보보호학회 부회장] 전 세계적으로 주목을 받고 있는 ICT 시장에서도 정보보호의 역할이 점차 증대되고 있으며, 보안 트렌드를 선도하는 핵심 기술들이 속속 등장하고 있다.


한동안 사물 인터넷(IoT) 보안, 클라우드(Cloud) 보안, 빅데이터(Big Data) 보안, 모바일(Mobile) 보안, 블록체인(Block chain)과 핀테크(Fintech) 보안이 주류를 이루더니, 지난해 구글 딥마인드(DeepMind)의 바둑 프로그램 알파고(AlphaGo)의 등장 이후에는 인공지능(AI)이나 딥러닝(Deep Learning) 기술을 활용한 악성코드 분석이나 공격자 추적 보안 솔루션들이 연구되고 있다. 또한, 4차 산업혁명의 등장과 더불어 최근 주목을 받고 있는 스마트 팩토리, 자율주행 자동차 및 드론에 이르기까지 미래 선도 산업에서의 보안의 중요성이 강조되면서 향후 이 분야에서도 정보보호의 역할이 기대되고 있다.

한편, 1970년대 중반부터 시작된 현대 암호는 이제 약 40여년의 역사를 맞이하고 있다. 초기에 제안되었던 암호 알고리즘들은 안전성과 효율성을 두고 그동안 경쟁과 발전을 거듭한 결과, 현재에는 RSA나 AES와 같은 상용 혹은 표준 암호 알고리즘들을 범용으로 사용하고 있다. 그럼에도 불구하고 양자 계산(Quantum Computing) 기술이 발전하면서 이를 암호 해독 분야에서 적용했을 경우 기존의 암호 알고리즘들을 무력화 할 수 있다는 사실이 밝혀졌다. 따라서 암호학자들은 양자 암호 해독 기술이 현실화되기 전에 새로운 대체 암호 기법들을 개발하고자 연구 중에 있다.

이러한 취지에 맞게 등장한 것이 양자 계산을 이용한 해독 기술에도 견딜 수 있는 고강도의 양자 대응 암호(Post-Quantum Cryptography 혹은 Quantum-Resistant Cryptography) 기술이다. 이미 미국의 NIST(National Institute of Standards and Technology)에서는 2017년 11월 30일까지 양자 대응용 공개 키 암호 알고리즘을 공모한 상태이며, 검증 과정을 거쳐 세계적으로 표준화할 준비를 하고 있다. 따라서 조만간 양자 계산 능력으로도 깰(Break) 수 없는 초강도의 양자 대응 암호 알고리즘이 등장하리라 예상된다.

그러나 수학적 난제에 의한 안전성을 기반으로 개발되었던 기존 암호 알고리즘들이 구현상의 취약점으로 인해 해커들의 공격에 의해 손쉽게 비밀 키가 노출되는 것을 경험해 왔다. 특히, 앞으로 도래할 초연결 사회에서는 무선 통신 기능이 강화됨으로써 암호 디바이스들이 메인 시스템에서 멀리 떨어져서 운영되거나 아예 관리자로부터 이격된 상태에서 구현될 가능성이 높다.

따라서 공격자는 이러한 암호 시스템이나 디바이스를 절취한 후, 해킹이나 물리적 분석을 통해 내재된 비밀 정보를 빼내는 물리적 구현 공격(Implementation Attack)에 취약할 가능성이 높다.

구현 공격은 암호 시스템 개발자가 구현 과정에서 미처 고려하지 못했던 허점을 이용한 해킹 기술로서, 이미 많은 암호 시스템이 구동되는 동안에 노출하는 소비 전력 정보나 전자기 정보에 의해 비밀 정보가 노출될 수 있다는 것이 지적됐다. 따라서 고비용을 들여 어렵게 개발한 암호 시스템을 공격자가 구현 공격을 통해 초저가의 해킹 장비나 툴로 쉽게 무력화시킬 수 있다면 보안 생태계 자체가 크게 흔들릴 수 있다.

기존 암호 시스템에서 구현 공격에 대한 대응이 잘 되지 않는 이유는 암호 알고리즘을 설계하는 것과 실제로 제품으로 생산하는 개발자가 서로 독립적인 경우가 많다 보니 개발자가 암호 알고리즘에 대한 전문적인 지식 없이 구현에만 치중한 결과라고도 볼 수 있다. 즉, 암호 연구자들이 제시한 이론적 안전성에 너무 의존한 나머지 개발 단계에서는 시스템 성능이나 효율성만 중시한 단순 개발에 치중하기 때문이다.

따라서 암호 시스템을 하드웨어로 구현하는 개발자는 시스템의 안전도를 검증하는 차원에서 디바이스 자체가 가지는 취약점을 올바로 인식하고 암호 기술과 구현 기술에 대한 간극을 좁히도록 노력해야 할 것이다.

현재에도 컴퓨팅 능력이 급속도로 성장하고 있으며 첨단의 ICT 기술이 역으로 악의적인 용도로 사용될 가능성을 배제할 수 없는 상황에서 초강도의 양자 대응 암호가 만들어지는 시점은 매우 적절하다고 보고 있다. 따라서 다가올 정보의 초연결 사회에 사용될 차세대 양자 대응 암호 알고리즘들은 암호학자들의 이론적 견고성 연구와 더불어 물리적 구현 공격에 대한 대응력을 갖추는 방향으로 무게 중심을 조금 더 이동시킬 필요가 있다.

또한, 암호 시스템에 대한 구현 공격에 대한 강인성을 검증할 수 있는 평가 체계도 공고히 갖추는 것이 필요하다. 암호용 디바이스에 대한 현재의 평가 및 검증 기준에 대한 연구와 표준화 과정이 더 필요하며 국제적인 협력도 절실한 시점이다.
[글_ 하재철 호서대학교 정보보호학 전공 주임교수(jcha@hoseo.edu)]

필자 소개_ 호서대학교 하재철 교수는 현재 호서대학교 정보보호학 전공 주임을 맡고 있으며, 호서대학교 공학교육혁신센터장으로 활동하고 있다. 한국정보보호학회 부회장 및 한국산학기술학회 이사로 활동 중이며, 한국정보보호학회의 논문지 편집위원장을 맡고 있다. 또한, 정보보호 제품 인증 평가위원 및 정부 기관 등에서 자문위원으로 활동하고 있다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)